Cambiar la frase de contraseña de un directorio ecryptfs

9

Quiero tener un directorio encriptado (¡no homedir!) Digamos / testdata.

He utilizado el siguiente comando y parámetros para cifrarlo:

root@pc:~# mount -t ecryptfs /testdata/ /testdata/
Passphrase: 
Select cipher: 
 1) aes: blocksize = 16; min keysize = 16; max keysize = 32
 2) blowfish: blocksize = 8; min keysize = 16; max keysize = 56
 3) des3_ede: blocksize = 8; min keysize = 24; max keysize = 24
 4) twofish: blocksize = 16; min keysize = 16; max keysize = 32
 5) cast6: blocksize = 16; min keysize = 16; max keysize = 32
 6) cast5: blocksize = 8; min keysize = 5; max keysize = 16
Selection [aes]: 
Select key bytes: 
 1) 16
 2) 32
 3) 24
Selection [16]: 
Enable plaintext passthrough (y/n) [n]: 
Enable filename encryption (y/n) [n]: y
Filename Encryption Key (FNEK) Signature [b9fc92f854a4c85b]: 
Attempting to mount with the following options:
  ecryptfs_unlink_sigs
  ecryptfs_fnek_sig=b9fc92f854a4c85b
  ecryptfs_key_bytes=16
  ecryptfs_cipher=aes
  ecryptfs_sig=b9fc92f854a4c85b
WARNING: Based on the contents of [/root/.ecryptfs/sig-cache.txt],
it looks like you have never mounted with this key 
before. This could mean that you have typed your 
passphrase wrong.

Would you like to proceed with the mount (yes/no)? : yes
Would you like to append sig [b9fc92f854a4c85b] to
[/root/.ecryptfs/sig-cache.txt] 
in order to avoid this warning in the future (yes/no)? : yes
Successfully appended new sig to user sig cache file
Mounted eCryptfs

Este comando crea este archivo:

root@pc:~# cat .ecryptfs/sig-cache.txt 
b9fc92f854a4c85b

Ahora quiero cambiar la frase de contraseña que usé antes. Encontré el ecryptfs-rewrap-passphrasecomando pero no estoy seguro si estoy en el camino correcto:

root@pc:~# ecryptfs-rewrap-passphrase .ecryptfs/sig-cache.txt 
Old wrapping passphrase: 
New wrapping passphrase: 
New wrapping passphrase (again): 
Error: Unwrapping passphrase failed [-5]
Info: Check the system log for more information from libecryptfs

/var/log/syslog dice:

Jul 13 13:16:19 pc ecryptfs-rewrap-passphrase: ecryptfs_unwrap_passphrase: PK11_CipherOp() error; SECFailure = [-1]; PORT_GetError() = [-8188]

Tengo un estado de novato con respecto a ecryptfs y agradecería un poco de iluminación aquí.

Theodotos Andreou
fuente

Respuestas:

10

Veo que está tratando de insertar la contraseña en un archivo que tiene otro significado.

ecryptfs-rewrap-passphrase /home/.ecryptfs/$USER/.ecryptfs/wrapped-passphrase 

o lo más seguro ... pero mejor busque manualmente el wrapped-passphraseen su .ecryptfsdirectorio oculto:

ecryptfs-rewrap-passphrase /home/$USER/.ecryptfs/wrapped-passphrase

Creo que este es el comando correcto para cambiar la contraseña, ¿dónde $USERestá su usuario?

PD: Es mejor no iniciar sesión y descifrar su carpeta.

León
fuente
1
Gracias por la respuesta Leon. No tengo / quiero una cuenta de usuario encriptada. Solo quiero un directorio encriptado que montaré manualmente cuando necesite los datos. Siento ecryptfs-rewrap-passphraseque no es la herramienta adecuada para este trabajo. Tampoco hay un home/.ecryptfsdirectorio ya que no tengo un usuario con un directorio cifrado. ¿Hay alguna manera de cambiar la frase de contraseña en mi directorio cifrado manualmente?
Theodotos Andreou
2

No hay forma de cambiar la frase de contraseña sobre la marcha ya que ecryptfs cifra cada archivo con esa frase de forma individual y todos los archivos deben reescribirse con la nueva frase de contraseña.

Entonces, todo lo que puede hacer es crear un nuevo directorio, montarlo con la nueva frase de contraseña y copiar todos los archivos allí.

La excepción a esto es cuando usaste Ubuntu para crear una instalación ecrypted / home / on. Cuando Ubuntu se configura de esa manera, no usa su frase de contraseña para el cifrado de archivos directamente, sino que genera una frase de contraseña aleatoria que se guarda en ~/.ecryptfs/wrapped-passphrase. Ese archivo se cifra con su frase de contraseña personal. Por lo tanto, su frase de fase personal puede cambiar, archivar la frase de contraseña de cifrado de archivo permanece igual. Puede ser posible recrear ese comportamiento al montar cosas manualmente, pero de forma predeterminada ese no es el caso y su frase de contraseña personal se usa para el cifrado de archivos directamente.

Grumbel
fuente
0

Los pasos reales están en Ubuntu 12.04 LTS:

Arrancar desde Ubuntu CD / USB Montar la partición con Nautilus (manera fácil)

sudo ecryptfs-rewrap-passphrase /media/8de07fc2-637c-4218-b0e9-5043685c3e6b/home/.encryptfs/$USER/.ecryptfs/wrapped-passphrase

Tienes que restaurar la propiedad

sudo chown 1000:root /media/8de07fc2-637c-4218-b0e9-5043685c3e6b/home/.encryptfs/$USER/.ecryptfs/wrapped-passphrase

Reiniciar

Zoltan Horvath
fuente